Amazon Key Management Service 功能

Amazon Key Management Service（KMS）可以帮助您集中控制用于保护数据的加密密钥。主密钥在您自己的账户中作为资源创建，用于控制对数据加密密钥（用于数据加密和解密）的访问。您可以创建新的主密钥，并轻松控制谁可以使用或管理这些密钥。Amazon KMS 与其他亚马逊云科技服务集成，可让您轻松加密存储在这些服务中的数据，并控制对数据解密所用密钥的访问。

您可以通过亚马逊云科技管理控制台、Amazon SDK 或亚马逊云科技命令行界面（CLI）管理主密钥。Amazon KMS 与 Amazon CloudTrail 集成，使您能够审计谁使用了哪些密钥、哪些资源以及何时使用。借助 Amazon KMS，开发人员还可以直接通过加密和解密 API 或与亚马逊云科技加密软件开发工具包的集成，将加密功能轻松添加到应用程序代码中。

Amazon KMS 的设计使得任何人（包括服务运营商）都无法从服务中检索主密钥明文。该服务使用密码主管部门认证的加密机，保护密钥的机密性和完整性。您的 KMS 主密钥从不会在创建它们的亚马逊云科技区域之外传输，并且只能在该区域内使用。

为了确保您的密钥永不丢失，并且您的数据始终可以检索，KMS 会将密钥的多个加密副本存储在其设计持久性达 99.999999999% 的系统中。

Amazon KMS 采用可在每个区域中跨多个可用区的冗余架构，旨在提供高度可用的服务。由于大多数亚马逊云科技服务都依赖 Amazon KMS 来加密和解密客户数据，因此 KMS 的架构旨在提供必要的可用性水平，以支持亚马逊云科技其余服务的运行，并由 Amazon KMS 服务水平协议提供保障。

从一个主密钥开始，并根据需要添加更多。使用 Amazon KMS，您可以根据需要创建和管理任意数量的主密钥，还可以请求不限数量的数据密钥以在本地应用程序中使用。我们能以低延迟支持高请求率，可满足亚马逊云科技内外的工作负载需求。

您可以选择让 Amazon KMS 每年自动轮换一次主密钥，而无须对已加密的数据重新加密。轮换密钥后，KMS 会自动保存旧版本的密钥材料，方便您解密以前加密的数据。

下列亚马逊云科技服务已与 Amazon KMS 集成。这些服务使用您账户中的 Amazon KMS 客户主密钥（CMK）来保护服务为您接收、存储或管理的数据。每个服务都允许您选择由您创建和管理的 CMK，或者由该服务代表您创建和管理的 CMK。

如果您为您的亚马逊云科技账户启用了 Amazon CloudTrail，则您向 Amazon KMS 发出的每个请求都会记录在一个日志文件中，该文件会传送到您在启用 Amazon CloudTrail 时指定的 Amazon S3 存储桶。记录的信息包括用户的详细信息、时间、日期、API 操作以及所用密钥（如果相关）。

Amazon KMS 可以为您提供创建和使用非对称 CMK 和数据密钥对的功能。您可以指定用作签名密钥对或加密密钥对的 CMK。使用这些 CMK 的密钥对生成和非对称加密操作将在 HSM 内执行。您可以请求将非对称 CMK 的公有部分用于您的本地应用程序，而私有部分则永远不离开该服务。

您还可以请求该服务生成非对称数据密钥对。此操作将会返回公有密钥和私有密钥的纯文本副本以及在您指定的对称 CMK 下加密的私有密钥副本。您可以在本地应用程序中使用纯文本公有或私有密钥，并存储加密的私有密钥副本以供将来使用。